Mi a PCI DSS szabvány?
A PCI DSS szabvány a kártyakibocsátó társaságok által megalkotott és használatra bevezetett biztonsági eljárások összessége az online bankkártyás vásárlások biztonságának garantálására. A cél, hogy a az elektronikus kereskedelemben a kártyaelfogadóknál és a kereskedőknél csökkentsék a bankkártyákkal való nagyarányú visszaélést. A szabvány a védőburok a tranzakció körül.
Miért fontos a szabvány szerinti működés?
Mert a szabvány szerinti működés garantálja az online fizetés szereplőinek maximális biztonságát egy olyan környezetben, ahol a leginkább elterjedtek az elektronikus fizetéssel való visszaélések. A csalásokkal valamint a személyes adatok eltulajdonításával kapcsolatos veszélyeknek az elhárítására alakították ki közösen a piacvezető kártyatársaságok - MasterCard, Visa, JCB, AmEx - a Payment Card Industry Data Security Standard (PCI DSS) szabványt 2004-ben.
A szabvány a kártyatársaságokkal kötött szerződés keretében egy sor szigorú információbiztonsági követelmény teljesítését követeli meg minden olyan szervezettől, amely a bankkártyák adatainak kezelésével,továbbításával vagy tárolásával foglalkozik, elemei többek között: tűzfalak megléte, vírusvédelmi megoldások, biztonsági rendszerek és alkalmazások fejlesztése és üzemeltetése, a rendszerekkel dolgozók egyedi azonosítása, a rendszerek és folyamatok rendszeres tesztelése, információbiztonsági szabályzat. A gyakorlatban ez azt jelenti, hogy programozók, biztonsági és pénzügyi szakemberek, szervezetek hada őrködik a tranzakciók biztonsága felett.
Önmagában a biztonsági rendszerek fejlesztése és üzemeltetése több tízmillió forintot emészthet fel évente - ez is az egyik magyarázat, miért nem érdemes a kereskedőknek egyenként üzemeltetni ezeket a rendszereket, miért érdemes erre specializálódott szolgáltatóhoz fordulni.
A PCI DSS szabályozás az internetes értékesítési pontokat működtető pénzintézetek, hitel- és bankkártya-feldolgozók valamint kereskedők egyik legfontosabb megfelelőségi követelményrendszere. A szabályozás több mint 160 különböző részletesen definiált, szigorú adatbiztonsági követelménynek való megfelelését és tanúsítvány elkészítésével történő rendszeres bizonyítását írja elő az érintett szervezetek számára. A követelményrendszer teljes körű, mert amíg a támadóknak elég egy pontot találni, a védekezőknek az összeset védeni kell.
A PCI DSS szabvány használatát a kártyakibocsátó társaságok megkövetelik az online bankkártyás fizetések védelme érdekében.